公司内网怎么做隔离?VLAN 原理详解:网线里的“平行宇宙”
为什么 HR 的电脑和程序员连着同一根线,却互相看不见?
1. 什么是 VLAN?
VLAN (Virtual Local Area Network),中文叫虚拟局域网。
想象一下,你所在的公司租了一个大平层办公室:
- 物理现状:HR、财务、程序员大家混着坐,网线都插在同一个交换机上。
- 安全隐患:如果局域网是通的,懂技术的程序员稍微抓个包,岂不是能看到财务发的工资条?😱
VLAN 就是为了解决这个问题诞生的。它能在物理上连接同一个交换机的情况下,在逻辑上把大家划分为不同的“平行宇宙”。
2. 大白话原理解析
2.1 传统的局域网 (广播域)
在没有 VLAN 之前,交换机就像一个大喇叭。
张三喊一声:“谁是李四?”,这个声音会传遍整个办公室。这就是广播域。人多了以后,满屋子都是喊人的声音,不仅吵(网络拥堵),还毫无隐私。
2.2 VLAN 的魔法:给数据包戴眼镜 (802.1Q 协议)
VLAN 的原理很简单,就是给每一个数据包打标签 (Tag)。这个技术的标准名字叫802.1Q。
它做的事情就是在原本的数据包头上,硬塞进去4个字节的信息,里面写着:“我是 VLAN 10 的”。
- 财务部 (VLAN 10):给财务电脑发出的数据包,贴个
红色标签。 - 技术部 (VLAN 20):给程序员电脑发出的数据包,贴个
蓝色标签。
交换机的规则变了:
- 戴红眼镜的人,只能看到贴红标签的包。
- 戴蓝眼镜的人,只能看到贴蓝标签的包。
- 虽然大家都在同一根光纤里跑,但就像处在两个平行时空,老死不相往来。
3. 核心概念:Access 与 Trunk
在配置交换机时,你经常听到这两个词,它们是干嘛的?
3.1 Access 接口 (接入端口)
- 位置:连接你电脑网卡的那个口。
- 作用:贴标签/撕标签。
- 电脑发出的数据是没标签的(电脑不懂 VLAN)。
- 数据进入交换机 Access 口时,交换机强行给它贴上
VLAN 10。 - 数据离开 Access 口发给电脑时,交换机把
VLAN 10撕掉,还原成普通数据。
- 比喻:相当于进出国门的海关。进门发身份证,出门收身份证。
3.2 Trunk 接口 (中继端口)
- 位置:连接交换机与交换机之间的那根粗线。
- 作用:不过滤,全放行。
- 因为这根线上既有 VLAN 10 的数据,也有 VLAN 20 的数据。
- Trunk 口允许带着标签的数据通过,不做撕毁操作。
- 比喻:相当于高速公路,不管你是运煤的还是运油的,只要有牌照(Tag)都能跑。
3.3 Native VLAN (本征 VLAN)
Trunk 既然是高速公路,那万一上来个没牌照的(不带 Tag 的数据)怎么办?
Trunk 接口会有一个默认的归属,叫Native VLAN(通常是 VLAN 1)。
- 如果不带标签的数据来了,就默认当做 Native VLAN 处理。
- 比喻:高速公路上的“行人通道”,没车的走这里。
4. 进阶:不同 VLAN 之间怎么通信?
虽然 VLAN 把大家隔离开了,但如果财务部真的需要给技术部发文件怎么办?
这时候就需要一位“外交官”——三层设备(路由器或三层交换机)。
4.1 单臂路由 (Router on a Stick)
- 在路由器的一个物理接口上,切出很多个“子接口”,分别对应 VLAN 10, VLAN 20。
- 比喻:路由器只有一只手,但他手指灵活,大拇指接 VLAN 10,食指接 VLAN 20,数据在手指间倒腾。
4.2 三层交换机 (SVI)
- 现在的交换机都很强,自带路由功能。
- 在交换机内部创建虚拟接口 (Interface Vlan),直接在内部就把数据转发了。
- 比喻:相当于小区门口不用保安传话了,楼栋之间修了直达天桥。
5. 面试必问的小知识点
- VLAN ID 范围:0-4095。
- 0 和 4095 保留。
- 1 是默认的 (Native)。
- 用户可用:1-4094。
- 广播风暴:VLAN 的最大功劳就是隔离了广播风暴。一个 VLAN 里的广播包,出不去这个圈。
6. 总结
- VLAN就是在物理线路上切割出来的逻辑隔离区。
- 它主要解决了三个问题:
- 安全:财务的数据,程序员看不见。
- 性能:缩小了广播域,就像把大广场隔成了小会议室,更安静。
- 灵活:人坐在哪不重要,只要把网口配置对,你永远属于那个部门。